1、計算機網絡管理復習第一章網絡管理概論1、網絡管理基本概念跨平臺網絡管理與局域網管理區(qū)別：局域網管理相對簡單，運行統(tǒng)一的操作系統(tǒng)，只要熟悉網絡操作系統(tǒng)的管理功能和操作命令就可以管好一個局域網，對于異構型設備組成的、運行多種操作的互聯(lián)網的管理就不那么簡單了，需要跨平臺的網絡管理技術。TCP/IP網絡管理系統(tǒng)的發(fā)展和應用情況：TCP/IP網絡（具有開放性）中的簡單管理工具ping程序；用ping發(fā)送探測報文可以確定通信目標的聯(lián)通性及傳輸時延；當網絡互聯(lián)規(guī)模大時這種方法不適合，一是ping返回信息少，無法獲取被管理設備詳細情況，二是ping程序對很多設備逐個測試檢查，工作效率低，這時出現(xiàn)了用于TCP/

2、IP網絡管理標準簡單網絡管理協(xié)議SNMP,適用于任何支持TCP/IP的網絡。此時，國際標準化組織也推出了OSI系統(tǒng)管理標準CMIS/CMIP。網絡管理平臺：網絡管理標準的成熟，刺激了制造商的開發(fā)活動，近年來市場上陸續(xù)出現(xiàn)了符合國際標準的商用網絡管理系統(tǒng)。這些系統(tǒng)有的是主機廠家開發(fā)的通用網絡管理系統(tǒng)開發(fā)軟件，有的則是網絡產品制造商推出的與硬件結合的網管工具，這些產品都可以稱為網絡管理平臺。網絡管理的需求：有了統(tǒng)一的網絡管理標準和適用的網絡管理工具，還要及時采用新技術，需要有方便適用的網絡配置工具，以便及時修改和優(yōu)化網絡配置，使網絡更容易使用，提供多種多樣的網絡服務。網絡管理的目標：網絡工作更加安

3、全，網上傳輸信息更加保密，網絡資源的訪問要嚴加控制，防止計算機病毒和非法入侵者的破壞等。OSI模型的關系:操作系統(tǒng)硬件管理站網絡管理應用網絡管理框架2、網絡管理系統(tǒng)體系結構網絡管理系統(tǒng)層次結構及與OSI/RM應用層表不層會話層傳輸層網絡層被管理的資源物理層數據鏈路層圖：網絡管理系統(tǒng)層次結構網絡管理系統(tǒng)框架結構：管理功能分為管理站和代理兩部分;為存儲管理信息提供數據庫支持；提供用戶接口和用戶視圖功能；提供基本的管理操作；管理信息庫和用戶視圖的功能：管理站:（功能:作用：代理：網絡中的其他結點在NME的控制下與管理站通信，交換管理信息，這些結點中的NME模塊叫做代理模塊。網絡中任何被管理的設備都必

4、須實現(xiàn)代理模塊。（功能：所有代理在網絡站監(jiān)視和控制下協(xié)同工作,實現(xiàn)集成的網絡管理。作用：這種集中式網絡管理的好處是管理人員可以有效的控制整個網絡資源，根據需要平衡網絡負載，優(yōu)化網絡性能。）網絡管理系統(tǒng)提供的操作：網絡管理的對象和被管理的資源：網絡管理涉及監(jiān)視和控制網絡中的各種硬件、固件和軟件元素。訪問被管理資源的方式：有關資源的管理信息由代理進行控制，代理進程通過網絡管理協(xié)議與管理站對話。網絡管理系統(tǒng)的分配：網絡管理應用和網絡管理實體的區(qū)別：每一個網絡結點都包括一組與管理有關的軟件，叫做網絡管理實體（NME）;網絡中至少有一個結點擔當管理站的角色，除NME之外，管理站中還有一組軟件，叫做網絡管

5、理應用（NMA）。集中式網絡管理和分布式網絡管理區(qū)別：分布式管理系統(tǒng)代替了單獨的網絡控制主機，地理上分布的網絡管理客戶機與一組網絡管理服務器交互作用，共同完成網絡管理功能。管理策略的分部門管理：1、每個客戶機只能訪問和管理本部門的部分網絡資源，而由一個中心管理站實施全局管理；2、中心管理站還能對管理功能較弱的客戶機發(fā)出指令，實現(xiàn)更高級的管理。分布式網絡管理系統(tǒng)的優(yōu)點：靈活性、可伸縮性（含義：）委托代理：系統(tǒng)要求每個被管理的設備都能運行代理程序，并且所有管理站和代理都支持相同的管理協(xié)議，這種要求有時候無法實現(xiàn)，有些無法實現(xiàn)的設備叫做非標準設備，這種情況下，需要使用到叫做委托代理的設備。（委托代理

6、和非標準代理之間運行制造商專用的協(xié)議，委托代理和管理站之間運行標準的網絡管理協(xié)議（SNMP）。這樣，管理站就可以用標準的方式通過委托代理得到非標準的信息，委托代理起到了協(xié)議轉換的作用。）網絡管理軟件組成：用戶接口軟件、管理專用軟件和管理支持軟件用戶接口軟件：用戶通過網絡管理接口與管理專用軟件交互作用,監(jiān)視和控制網絡資源，接口軟件不但存在于管理站上，還可能出現(xiàn)在代理系統(tǒng)中，以便對網絡資源實施本地配置、測試和排錯。接口軟件還要有一定的信息處理能力。管理專用軟件：足夠好的網管軟件可以支持多種網絡管理應用。管理支持軟件：包括ME訪問模塊和通信協(xié)議棧。管理應用元素功能：應用元素實現(xiàn)通用的基本管理功能（例

7、如，產生報警，對數據進行分析等），可以被多個應用程序調用。MIB訪問模塊功能：具有基本的文件管理功能，使得管理站或代理可以訪問MIB,同時該模塊還能把本地的MIB格式轉換為適用網絡管理系統(tǒng)傳送的標準格式。數據傳輸模塊功能：3、網絡監(jiān)控系統(tǒng)網絡監(jiān)控系統(tǒng)基本功能：對管理信息的定義、監(jiān)控機制的設計和管理信息的應用。網絡監(jiān)控系統(tǒng)構成：網絡管理功能分為網絡監(jiān)視和網絡控制兩大部分,統(tǒng)稱網絡監(jiān)控。網絡控制：修改設備參數或重新配置網絡資源,以便改善網絡的運行狀態(tài)。網絡管理信息分類：靜態(tài)信息、動態(tài)信息和統(tǒng)計信息靜態(tài)信息：系統(tǒng)和網絡的配置信息；動態(tài)信息：與網絡中出現(xiàn)的事件和設備的工作狀態(tài)有關；統(tǒng)計信息：從動態(tài)信息

8、推導出的信息;管理信息庫組成：I靜態(tài)數據庫、I固態(tài)數據庫和抑用數據庫。I（配置數據庫和傳感器數據庫共同組成靜態(tài)數據庫；動態(tài)數據庫存儲著由傳感器收集的各種網絡元素和網絡事件的實時數據；統(tǒng)計數據庫中的管理信息時由動態(tài)信息計算出來的。）獲取網絡管理信息的方法：靜態(tài)信息：由網絡元素直接產生，由駐在這些網絡元素中的代理進行收集和存儲，無代理進程的可以由委托代理收集靜態(tài)信息，傳給監(jiān)視器。動態(tài)信息：由產生有關事件的網絡元素收集和存儲，對于局域網來說，網絡中各個設備的行為和有關數據可以由連接在網絡中的一個專用主機及遠程網絡監(jiān)視器收集和記錄。統(tǒng)計信息：可以由任何能夠訪問動態(tài)信息的系統(tǒng)產生,也可以由網絡監(jiān)視器自己

9、產生，需要將所有需要的原始數據傳送給監(jiān)視器，由監(jiān)視器進行分析和計算。網絡監(jiān)控系統(tǒng)配置：網絡監(jiān)控系統(tǒng)體系結構監(jiān)控應用程序：監(jiān)控系統(tǒng)的用戶接口,完成性能監(jiān)視、故障監(jiān)視和計費監(jiān)視等功能。功能管理：負責與其他網絡元素中的代理進程通信,把需要的監(jiān)控信息提供給監(jiān)控應用程序。（監(jiān)控應用程序和功能管理模塊都處于管理站中。）管理對象：被監(jiān)捽的網絡資源中的管理信息.所有管理對象遵從網絡管理標準的規(guī)則，理對象中的信息通過代理功能提供給管理站。監(jiān)控代理模塊功能：專門對管理信息進行計算和統(tǒng)計分析，并且把計算結果提供給管理站。網絡監(jiān)控系統(tǒng)通信機制：代理和監(jiān)視器之間的通信。輪訓和事件報告機制的區(qū)別及其實現(xiàn)方法：輪詢時一種吊

10、天-響應式jj交互作用，由監(jiān)正器向代理發(fā)出請求，詢問它所需要的信息值，代理響應監(jiān)視器的請求，從它保存的管理信息庫中取得請求的信息，返回給監(jiān)視器。事件報告是由代理主動發(fā)送給管理站的消息。代理可以根據管理站的要求定時的發(fā)送狀態(tài)報告，也可能在檢測到某些特定事件或非正常事件時生成事件報告，發(fā)送給管理站。（對于及時發(fā)現(xiàn)網絡中的問題很有用，特別對于監(jiān)控信息不經常改變的管理對象更有效。）通信方式對網絡管理系統(tǒng)的影響：OSI系統(tǒng)管理與TCP/IP網絡管理在通信方式選擇策略上的區(qū)別：傳統(tǒng)的通信管理網絡主要依賴于事件報告，而SNMP強調輪詢方法，OSI系統(tǒng)管理則采取了這兩種極端方法中的中間道路。（無論是SNMP或

11、是OSI,以及某些專用的管理系統(tǒng)都允許用戶根據情況決定使用何種通信方式。）4、網絡監(jiān)視（性能監(jiān)視、故障監(jiān)視和計費監(jiān)視）網絡監(jiān)視：指收集系統(tǒng)和子網的狀態(tài)信息，分析被管理設備的行為，以便發(fā)現(xiàn)網絡運行中存在的問題。網絡監(jiān)視中最重要的是性膽監(jiān)視。一面向服務的性能指標和面向效率的性能指標之間的區(qū)別：網絡最主要的目標是向用戶提供滿意的服務，因而面向服務的性能指標應具有較高的優(yōu)先級。面向服務的性能指標：可用性、響應時間、正確性、吞吐率和利用率可用性：指網絡系統(tǒng)、元素或應用對用戶可利用的時間的百分比。計算方法：P10響應時間：從用戶輸入請求道系統(tǒng)在終端上返回計算結果的時間間隔。系統(tǒng)響應時間組成：入口終端延遲、

12、入口排隊時間、入口服務時間、CPU處理延遲、出口排隊時間、出口服務時間和出口終端延遲。系統(tǒng)響應時間和生產率的關系：當響應時間小于1秒時事務處理的速率明顯加快，這和人的短期記憶以及注意力集中的程度有關。誤碼率對網絡傳輸正確性的影響：可以發(fā)現(xiàn)瞬時的線路故障，以及是否存在噪聲通信干擾，以便及時采取維護措施。吞吐率：是面向效率性能指標，具體表現(xiàn)為一段時間內完成的數據處理數量。吞吐率與網絡傳輸效率的關系：跟蹤吞吐率指標可以為提高網絡傳輸速率提供依據。網絡利用率的定義和分析方法：網絡資源利用的百分率，它是面向效率的指標。性能測試報告內容和實現(xiàn)形式：以圖形或者表格形式呈現(xiàn)給網絡管理員。報告內容包括主機對通信

13、矩陣、主機組通信矩陣、分組類型直方圖、數據分組長度直方圖、吞吐率一利用率分布、分組到達時間直方圖、信道獲取時間直方圖、通信延遲直方圖、沖突計數直方圖和傳輸計數直方圖。網絡故障：故障監(jiān)視就是要盡快發(fā)現(xiàn)故障，找出故障原因，以便及時采取補救措施。故障管理的功能模塊：故障檢測和報警功能、故障預測功能、故障診斷和定位功能。網絡測試的定義：網絡測試與故障管理的關系：對設備和通信線路進行測試，找出故障原因和故障地點?？蛇M行如下測試：連接測試、數據完整性測試、協(xié)議完整性測試、數據包和測試、連接飽和測試、環(huán)路測試、功能測試和診斷測試。網絡計費基本概念：計費監(jiān)視主要是跟蹤和控制用戶對網絡資源的使用，并把有關信息存

14、儲在運行日志數據庫中，為收費提供依據。需要計費的網絡資源：通信設施、計算機硬件、軟件系統(tǒng)和服務。網絡計費日志包含的基本信息：用戶標識符、連接目標的標識符、傳送的分組數/字節(jié)數、安全級別、時間戳、指示網絡出錯情況的狀態(tài)碼和使用的網絡資源。5、網絡控制網絡配置管理：是指初始化、維護和關閉網絡設備或子系統(tǒng)。配置管理的作用：設置網絡參數的初始值/默認值，使網絡設備初始化時自動形成預定的互聯(lián)關系。當網絡運行時，配置管理監(jiān)視設備的工作狀態(tài)，并根據用戶的配置命令或其他管理功能的請求改變網絡配置參數。配置管理包含的功能模塊：定義配置信息、設置和修改設備屬性、定義和修改網絡元素間的互聯(lián)關系、啟動和終止網絡運行、

15、發(fā)行軟件、檢查參數值和互聯(lián)關系、報告配置現(xiàn)狀。定義配置信息：配置信息描述描述網絡資源的特征和屬性。網絡資源包括物理資源和邏輯資源。物理資源有主機、路由器、網橋、通信鏈路和Modem等；邏輯資源有定時器、計數器和虛電路等。配置信息的存儲方式訪問方法：管理信息存儲在被管理設備最接近的代理或委托代理中，管理站通過輪詢或時間報告訪問這些信息。設置和修改設備屬性：定義和修改網絡元素間的互聯(lián)關系：啟動和終止網絡運行：發(fā)行軟件：給系統(tǒng)裝載制定軟件、更新軟件版本和配置軟件參數等；可以提供的功能:1、裝載可執(zhí)行軟件2、下載驅動設備工作數據表3、提供人工修改路由表的用戶接口計算機網絡的安全需求：保密性、數據完整性

16、和可用性；危害網絡信息流的各種安全威脅：中斷、竊取、竄改和假冒；中斷：通信被中斷,信息變得無用或無法利用，對可用性的威脅:竊?。何唇浭跈嗟娜肭终咴L問了網絡信息,對保密性的威脅：竄改：未經授權的入侵者不僅訪問了信息資源,而且竄改了信息，對數據完整性的威脅；假冒：未經授權的入侵者在網絡信息中加入了偽造的內容，對數據完整性的威脅；對計算機網絡安全威脅：對硬件威脅、對軟件威脅、對數據威脅和對網絡通信威脅；對網絡管理安全威脅：偽裝的用戶、假冒的管理程序、侵入管理站和代理間的信息交換過程。安全信息維護：（功能及實現(xiàn)方法：）資源訪問控制：一種重要的安全服務就是訪問控制服務，包括認證服務和授權服務，以及對敏感

17、資源訪問授權的決策過程。目的是保護各種網絡資源。這些資源與網絡管理有關的是：安全編碼、源路由和路由記錄信息、路由表、目錄表、報警門限和計費信息。加密過程控制：安全管理能夠在必要時對管理站和代理之間交換的報文進行加密。這個功能可以改變加密算法，具有密鑰分配能力。6、網絡管理標準國際標準化組織制定的OSI系統(tǒng)管理標準的組成：TCP/IP網絡管理標準的發(fā)展情況:各種網絡管理標準的開發(fā)現(xiàn)狀和適用范圍:第二章抽象語法表示ASN.11、網絡數據表示表示層功能：提供統(tǒng)一的網絡數據表示。（在互相通信的端系統(tǒng)中至少有一個應用實體，如FTP、TELNET、SNMP,和一個表示實體，如ASN。1）應用實體：（應用協(xié)

18、議按照預先定義的抽象語法構造協(xié)議數據單元，用于和對等系統(tǒng)的應用實體交換信息。）表示實體：定義了應用數據的抽象語法抽象語法：類似于通常程序設計語言定義的抽象數據類型。（一種抽象語法可以選擇不止一種傳輸語法。）傳輸語法：把抽象語法變換成比特串的編碼規(guī)則叫做傳輸語法。2、ASN.1基本概念ASN.1文本約定：及ASN.1書寫規(guī)則1、書寫布局是無效的，多個空格和空行等效于一個空格；2、用于表示值和字段的標識符、類型指針和模塊名由大小寫字母、數字和短線組成。3、標識符以小寫字母開頭；4、類型指針和模塊名以大寫字母開頭；5、ASN.1定義的內部類型全部用大寫字母表示；6、關鍵字全部用大寫字母表示；7、注釋

19、以一對短線（一一）開始，以一對短線或行尾結束；抽象數據類型：簡單類型、構造類型、標簽類型和其他類型；簡單類型：由單一成分構成的原子類型；構造類型：兩種以上成分構成的構造類型；標簽類型：由已知類型定義的新類型；其它類型：CHOICE和ANY兩種類型；兩種沒有標簽的類型，值是未定的，類型也是未定的，當這種類型的變量被賦值時，才確定；CHOICE是可選類型的一個表，僅其中一個類型可以被采用，產生一個值；ANY類型表示任意類型的任意值；標簽類型：通用類型universal一一適用于任何類型；應用標簽application由某個具體應用定義的類型；上下文專用標簽一一在文本的一定范圍中適用；私有標簽pri

20、vate用戶定義的標簽；用簡單類型表示結構性數據的一般方法：ASN.1定義的各種通用類型：對象標識符類型（OBJECTIDENTIFIER）的構成形式：ASN.1定義各種簡單類型的定義及其應用：各種標簽白用法：APPLICATION、IMPLICIT、EXPLICIT、上下文專用標簽集合類型與序列類型的區(qū)別及實際應用:子類型：子類型是由限制父類型的值集合而導出的類型，所有子類型的值集合時父類型的子集。（子類型還可以再產生子類型。）構造子類型的各種方法：1、單個值：列出子類型可取的各個值；2、包含子類型：關鍵詞includes,說明被定義的類型包含了已有類型的所有值；3、值區(qū)間：只能應用于整數和

21、實數類型，指出子類型可取值的區(qū)間，區(qū)間可以使閉區(qū)間或開區(qū)間，開區(qū)間加<符號；4、可用字符：只能用于字符串類型，限制可使用的字符集；5、限制大小：可以對5種類型限制其規(guī)模大小；6、內部子類型：可用于序列、集合和CHOICE類型3、基本編碼規(guī)則基本編碼規(guī)則結構：基本編碼規(guī)則把ASN.1表示的抽象類型值編碼為字節(jié)串，這種字節(jié)串的結構為類型一長度一值，（TLV）。用TLV規(guī)則表示簡單類型方法：P32P34對標簽值和長度字段擴充方法：P344、ASN.1宏定義ASN.1定義模塊方法：<modulereference>definitions:=模塊名BeginExports指明該模塊可以

22、出口的部分Imports指明該模塊需要引用的其它類型和值assignmentList包含模塊定義的所有類型、值和宏定義end宏表示：ASN.1提供的一種表示機制，用于定義宏；宏定義：用宏表示定義的一個宏，代表一個宏實例的集合；宏實例：用具體的值代替宏定義中的變量而產生的實例，代表一種具體的類型；ASN.1的宏定義結構：<macroname>macro:=BeginTypenotation：=<new-type-syntax>Valuenotation：=<new-value-syntax><sypporting-productions>EndMa

23、croname是宏名字，并須全部大寫。宏定義由類型表示、值表示和支才I產生式3部分組成。最后一部分是任選的。由宏定義得到宏實例的方法：用具體的值代替宏定義中的變量而產生。P37第三章管理信息庫MIB-21、SNMP的基本概念TCP/IP協(xié)議簇中主要協(xié)議：傳輸層TCP、UDP和互聯(lián)層IP、ICMP;（四層：應用層、傳輸層、互聯(lián)層和網絡接口層）TCP/IP協(xié)議層次與OSI分層原則的不同：a、TCP/IP協(xié)議簇允許同層協(xié)議實體之間相互作用，從而實現(xiàn)復雜的控制功能；b、允許上層過程直接調用不相鄰的下層過程；c、有些高層協(xié)議中，控制信息和數據分別傳輸，而不是共享同一協(xié)議數據單元；TCP協(xié)議：TCP是端系

24、統(tǒng)之間的協(xié)議，功能是保證端系統(tǒng)之間可靠的發(fā)送和接收數據,并給應用進程提供訪問端口。IP協(xié)議：互聯(lián)網的所有端系統(tǒng)和路由器都必須實現(xiàn)IP協(xié)議，主要功能是根據全網唯一的地址把數據從源主機搬運到目的主機。TCP/IP協(xié)議簇中PDU參數：PDU協(xié)議數據單元；當一個主機中的應用程序選擇傳輸服務為其傳輸數據時，以下各層實體分別加上該層協(xié)議的控制信息，形成協(xié)議數據單元。反之，當IP地址到達目標網絡目標主機后由下層協(xié)議實體逐層向上提交，沿著相反的方向一層一層剝掉協(xié)議控制信息，最后把數據交給應用層接收進程。SNMP配置框架：internet中，對網絡、設備和主機的管理叫做網絡管理，網絡管理信息存儲在管理信息庫MI

25、B中。SNMP由兩部分組成：一部分是管理信息庫結構麗義,另一部分是訪問管理信息庫的協(xié)業(yè)規(guī)范；陷入制導：作用：為了使管理站能夠及時而有效的對被管理設備進行監(jiān)控,同時又不過分增加網絡的通信負載。輪詢過程：a、啟動時，或每隔一定時間用Get操作輪詢一遍所有代理，以便得到某些關鍵的信息，或基本的性能統(tǒng)計參數。b、，管理站就停止輪詢，而由代理進程負責在必要時向管理站報告異常事件。c、得到異常事件報告后，管理站可以查詢有關代理，以便得到更具體的信息，對事件的原因做進一步分析。TCP/IP網絡管理框架定義和規(guī)范文件：最初的網絡管理框架由4個文件定義。RFC1155RFC1212RFC1213RFC1157定

26、義了管理信息結構（SMI）,SMI說明了定義MIB模塊的方法；定義MIB-2管理對象的核心集合，星SNMPv1協(xié)議的熱點，件文件。說明怎樣定義管理對象和怎樣訪問管理對象；這些管理對象是任何SNMP系統(tǒng)必須實現(xiàn)的;SNMP為應用層結構，依賴于UDP數據報服務；（使用UDP協(xié)議原因：UDP效率較高，實現(xiàn)網絡管理不會太多的增加網絡負載，但是UDP不是很可靠，所以SNMP報文容易丟失。）建議SNMP對每個管理信息要裝配成單獨的數據報獨立發(fā)送，而且報文應短些，不超過484個字節(jié)。SNMP實體作用：向管理層應用程序提供服務，把管理應用程序的服務調用變成對應的SNMP協(xié)議數據單元，并利用UDP數據報發(fā)送出去

27、。SNMP中團體概念：每個代理進程管理若干管理對象，并且與某些管理站建立團體關系;團體名作為團體的全局標識符，是一種簡單的身份叫證手段。代網程需要接收通過團體名驗證的報文，防止假冒的管理命令。委托代理作用：一個委托代理設備可以管理若干臺非TCP/IP設備，并代表這些設備接收管理站的查詢，實際起到協(xié)議轉換的作用。（委托代理和管理站之間按SNMP協(xié)議通信，而與被管理設備之間則按專用的協(xié)議通信。）SNMP要求所有的代理設備和管理站都必須實現(xiàn)TCP/IP協(xié)議。2、MIB結構被管理對象的分層結構：SNMP環(huán)境中的所有管理對象組織成分片的樹結構。分層的樹結構作用：a、表示管理和控制關系：上層中間結點某些組

28、織機構名字，負責子樹信息的管理和審批；樹根沒有名字，默認為抽象語法表示ASN.1ob、提供了結構化的信息組織技術；c、提供了對象命名機制：對象標識符的組成一一葉機結點代表實際的管理對象.從樹根到樹葉的編號串聯(lián)起來，用圓點隔開，就形成了管理對象的全局標識。（如：internet標識符是,令牌環(huán)適配器又象標識符是.5。）Internet下面4個結點包含的信息、含義及應用：directory（1）:是為OSI的目錄服務（X.500）使用的；mgmt:由IAB批準的所有管理對象；mib-2是它的第一個孩子結點；experimental（3）:用來標識在互聯(lián)

29、網上實驗的所有管理對象；private（4）:為了私人企業(yè)管理信息準備的；（把internet結點劃分為4個子樹，為SNMP的實驗和改進提供了非常靈活的管理機制。）RFC1155定義的應用類型：a、NetworkAddress:=CHOICEinternetIpAddress用ASN.1的CHOICE構造定義，可以從各種網絡地址中選擇一種，目前只有internet地址一種。b、internetOBJECTIDENTIFIER:=iso(1)org(3)dod(6)1SNMP采用對象標識符作為對象的唯一標識。c、IpAddress:=APPLICATION0IMPLICITOCTETSTRING

30、(SIZE(4)32位IP地址，定義為OCTETSTRING類型。d、Counter:=APPLICATION1IMPLICITINTRGER(0.4294967295)計數器類型，可用于計算收到的分組數或字節(jié)數等。e、Gauge:=APPLICATION2INTRGER(0.4294967295)計量器類型，可用于表示存儲在緩沖隊列中的分組數。f、TimeTicks:=APPLICATION3INTRGER(0.4294967295)時鐘類型是非負整數,單位是百分之一秒，表示從某個事件開始到目前經過的時間。g、Opaque:=APPLICATION4OCTETSTRINGarbitraryA

31、SN.1value不透明類型即為未知數據類型，可以表示任意類型。計數器和計量器的區(qū)別：計算器類型是一個非負整數，其值可增加，但不能減少,達到最大值232-1后回零，從頭開始增加；計量器類型是一個非負數整數，其值可增加，也可減少；最大值一樣,但達到最大值后不回零，而是鎖定在232-1。RFC1212定義的管理對象結構、各部分含義及其應用：SNMPMIB的宏定義最初在RFC1155中說明，叫做MIB-1,后來在RFC1212擴充了，叫做MIB-2。SYNTAX:表示對象類型的抽象語法；ACCESS:定義SNMP協(xié)議訪問對象的方式；STATUS:說明實現(xiàn)是否支持這種對象；mandatory必要的，任

32、選的optional,obsolete過時的，deprecated可取消的；DescPart:任選子句，用文字說明對象類型的定義；ReferPart:任選子句，用文字說明可參考其他MIB模塊中定義的對象；IndexPart:用于定義表對象的索引項；DefValPart:定義了對象實例默認值，任選子句；VALUENOTATION:指明對象的訪問名；3、標量對象和表對象表對象：SMI只存儲標量和二維數組，后者叫做表對象；定義表對象的方法：表的定義要用到ASN.1的序列類型和對象類型宏定義中的索引部分；A、整個TCP連接表是TCP連接項組成的同類型序列，而每個TCP連接項是TCP連接表的一行；B、T

33、CP連接項是由5個不同類型的標量元素組成的序列；C、TCP連接表的索引由4個元素組成本地地址、本地端口、遠程地址和遠程端口；對象標識符和對象實例標識符的區(qū)別：表中的標量對象叫做列對象，列對象有唯一的對象標識符；把列對象的對象標識符與索引對象的值組合起來就說明了列對象的一個實例。標量對象和表對象實例的表示方法：表對象：表和行對象是沒有實例標識符的;(因為不是葉子結點，SNMP無法訪問)標量對象：由于標量對象只能取一個值,所以從原則上說不必區(qū)分對象類型和對象實例，然而為了與列對象一致，SNMP規(guī)定在標量對象標識符之后級聯(lián)一個0,表示該對象的實例標識符。索引對象的作用：索引對象的值用于區(qū)分表中的行；

34、把索引對象實例轉換成子標識符的方法：RFC1212如果索引對象實例取值為-1、整數值，則把整數值作為一個子標識符；2、固定長度的字符串值，則把每個字節(jié)編碼為一個子標識符；3、可變長的字符串值，先把串的實際長度n編碼為第一個子標識符，然后把每個字節(jié)編碼為一個子標識符，總共n+1個子標識符；4、對象標識符，如果長度為n,則先把n編碼為第一個子標識符，后續(xù)該對象標識符的各個子標識符，總共n+1個子標識符；5、IP地址，則變?yōu)?個子標識符；表對象標識符的詞典順序：對象標識符是整數序列，反應了該對象MIB中的邏輯位置，同時表示了一種詞典順序，按照一定的方式遍歷MIB樹，就可以排出所有對象及其實例的詞典順

35、序；書P52例子4、MIB-2功能組（重要）RFC1157定義MIB,RFC1213S義MIB-2系統(tǒng)組：系統(tǒng)組提供了系統(tǒng)的一般信息。系統(tǒng)服務對象sysServices是7位二進制數，每一位對應OSI/RM7層協(xié)議中的一層。及口果系統(tǒng)提供某一層服務，則對應的位為1,否則為0;（例：系統(tǒng)提供應用層和傳輸層服務，則該系統(tǒng)的sysServices對象具有值1001000=72。）作用：1、管理站周期查詢某個計數器的值和系統(tǒng)啟動時間sysUpTime的值，管理站即可知道該計數器在多長時間中變化了多少值。2、故障管理中，管理站周期查詢這個值，如果發(fā)現(xiàn)當前得到的值比最近一次得到的值小，則可推斷出系統(tǒng)已經重

36、新啟動過了。接口組：接口組包含關于主機接口的配置信息和統(tǒng)計信息。ifNumber：網絡接口數；ifTable:每個接口對應一個表項；ifIndex：索引，取值為1ifNumber之間的數；ifType:接口的類型；ifPhysAddress:物理地址，其特點依賴于接口類型；ifSpeed：只讀計量器,表示接口的比特速率；作用:1、接口組的對象可用于故障管理和性能管理。（如可以通過檢查進出接口的字節(jié)數或隊列長度檢測擁擠；可以通過接口狀態(tài)獲知工作情況；可以統(tǒng)計出輸入/輸出的錯誤率）2、改組可以提供接口發(fā)送的字節(jié)數和分組數，這些數據可作為記賬的底據。地址轉換組：包含一個表，表的一行對應系統(tǒng)的一個物理

37、接口，表示網絡地址到接口的物理地址的映像關系。MIB-2中的地址轉換組對象已收編到各個網絡協(xié)議組中，保留地址轉換組僅僅是為了和MIB-1兼容；改變理由：為了支持多協(xié)議結點；為了表示雙向印象關系。IP組：提供了與IP協(xié)議有關的信息。IP包含的對象分為4大類，包含有關性能和故障監(jiān)控的標量對象和3個表對象。IP地址表包含與本地IP地址有關的信息。每一行對用一個IP地址，一個IP地址對應一個網絡接口。配置管理中，利用IP地址表中信息檢查網絡接口的配置情況，表中對象屬性是只讀的，所以SNMP不能改變主機的IP地址。IP路由表|:包含關于轉發(fā)路由的一般信息。一行對應一個已知路由，由目標地址ipRouteD

38、est索引。路由表中的信息可用于配置管理，因對象可讀寫，可用SNMP設置路由信息；還可用于故障管理，如果用戶不能遠程主機建立鏈接，可檢查路由表中的信息是否有錯。IP地址轉換表提供了物理地址和IP地址的對應關系。每個接口對用表中的一項。RFC1354提出代替IP路由表的IP轉發(fā)表，原來的IP路由表只由一項ipRouteDest索引，而轉發(fā)表可以表示多路由的路由表。（IP轉發(fā)表由4個入口索引，因而對同一目標地址可根據不同的路由協(xié)議、不同的轉發(fā)策略發(fā)送到不同的下一結點去。） ICMP組：ICMP是IP的伴隨協(xié)議，所有實現(xiàn)IP協(xié)議的結點都必須實現(xiàn)ICMP協(xié)議。ICMP組包含有關ICMP實現(xiàn)和操作的有關

39、信息。這一組是有關各種接收的或發(fā)送的ICMP報文的計數器。 TCP組：包含與TCP協(xié)議的實現(xiàn)和操作有關的信息。這一組前3項與重傳有關：當一個TCP實體發(fā)送數據段后就等待應答，并開始計時，如果超時后沒有得到應答，就認為數據段丟失了，因而要重新發(fā)送。 UDP組：提供了關于UDP數據報和本地接收端點的詳細信息。UDP表只有本地地址和本地端口兩項。EGP組：提供了關于EGP路由器發(fā)送和接收的EGP報文的信息，以及關于EGP鄰居的詳細信息等。傳輸組：針對各種傳輸介質提供詳細的管理信息，提供與子網類型有關的專用信息。定義了兩種測試和兩種錯誤，當管理站訪問代理中測試對象時，代理就完成對應的測試。第四章簡單網

40、絡管理協(xié)議1、SNMP的演變SNMP協(xié)議演變的軌跡：SGMP(簡單網關監(jiān)控協(xié)議/SNMPvl、SNMPv2、SNMPv3SNMP3個版本的區(qū)別及其應用情況：P70定義SNMP協(xié)議的RFC文檔：RFC1155(SMI)、RFC1157(SNMP)、RFC1212(MIB定義)、RFC1213(MIB-2規(guī)范)2、SNMPvl協(xié)議數據單元SNMPvl支持的操作：SNMP僅支持對管理對象值的檢索和修改等簡單操作。SNMP實體可以對MIB-2中的對象執(zhí)行以下操作：Get:管理站用于檢索管理信息庫中標量對象的值；Set:管理站用于設置管理信息庫中標量對象的值；Trap：代理用于向管理站報告管理對象的狀態(tài)

41、變化。SNMP不支持管理站改變管理信息庫的結構，即不能增加和刪除管理信息庫中的管理對象實例。管理站也不能向管理對象發(fā)出執(zhí)行一個動作的命令。只能逐個訪問管理信息庫中的葉子結點，不能一次性訪問一個子樹。|MIB-2的子樹結點都是不可訪問的。SNMPvIPDU的格式：有4種PDU格式；P72各個字段白含義：|PDU類型|-共5種類型的PDU。清求標識:|賦予每個請求報文唯一的整數,用于區(qū)分不同的請求，另一個作用是檢測由不可靠的傳輸服務產生的重復報文。錯誤狀態(tài)表示代理在處理管理站的請求時可能出現(xiàn)的各種錯誤，共有6種:noError(0)、tooBig(1)、noSuchName(2)、badValue

42、(3)、readOnly(4)、genError(5)錯誤索弓U當錯誤狀態(tài)非0時指向出錯的變量。變量綁定表:|變量名和對應值的表,說明要檢索或設置的所有變量及其值，在檢索請求報文中，變量的值應為0。Trap報文格式了段含義：制造商嗎I:便是設備制造商的標志；代理地址:!產生陷入的代理IP地址；一般陷入:SNMP定義的陷入類型，共7類；特殊陷旨與設備有關的特殊陷入代碼；時間戳:1代理發(fā)出陷入的時間；SNMP報文的應答序列：SNMP報文在管理站和代理之間傳送，包含GetRequest、GetNextRequest和SetRequest的報文由管理站發(fā)出，代理以GetResponse響應；Trap報

43、文由代理發(fā)給管理站，不需要應答。管理站可以連續(xù)發(fā)出多個請求報文，然后等待代理返回應答報文，如果在規(guī)定的時間內收到應答，則按照請求標識進行配對。（應答報文必須與請求報文有相同的請求標志。）報文發(fā)送過程：1、按照ASN.1的格式構造PDU,交給認證進程；2、認證進程檢查源和目標之間是否可以通信；3、若通過檢查把有關信息組裝成報文；4、經過BER編碼，交傳輸實體發(fā)送出去；報文接收過程：1、按照BER編碼恢復ASN.1報文；2、對報文進行語法分析、驗證版本號和認證信息等；3、如果通過分析和驗證，分離出協(xié)議數據單元，并進行語法分析，必要時經過適當處理后返回應答報文；4、認證失敗時可以生成一個陷入報文，向

44、發(fā)送站報告通信異常情況；3、SNMPvl的操作檢索簡單對象的方法：檢索簡單的標量對象值可以用"戌操作;若變量綁定表中包含多個變量，一次可以檢索多個標量對象的值。GetResponse操作原子件：若所有請求的對象值可以得到，則給予應答；只要有一個對象的值得不到，則可能返回錯誤條件：noSuchName、tooBig、genErrornoSuchName：變量綁定表中的一個對象無法與MIB中的任何對象標識符匹配；tooBig:響應實體提供所有要檢索的值，但是變量太多，一個響應PDU裝不下；genError：由于其他原因響應實體至少不能提供一個對象的值；P76P77例子檢索未知對象的方法：

45、GetNext命令，僉索變量名指示的下一個對象實例，但是并不要求變量名是對象標識符或者是實例標識符。例子檢索表對象的方法：|GetNext|可用于有效地搜索表對象;例子表的更新和刪除操作：|Set命令用于設置或更新變量的值，在變量綁定表中必須包含要設置的變量名和變量值;原子性：若所有變量都可設置，則更新所有變量值，在應答的GetResponse中確認變量的新值，若至少有一個變量不能設置，則所有變量值保持不變，并在錯誤狀態(tài)中指出錯的原因。tooBig、noSuchName、genError和badValue（變量的名字和要設置的值在類型、長度或實際值方面不匹配）例子陷入操作的原理：陷入是由代理向

46、管理站發(fā)出的異步事件報告，不市要應答報文。SNMPvl規(guī)定的6種陷入條件：coldStart:發(fā)送實體重新初始化，代理配置已改變，由系統(tǒng)失效引起的；warmStart:發(fā)送實體重新初始化，代理配置沒改變，正常重啟動過程；linkDown:鏈路失效通知；linkup:鏈路啟動通知；authenticationFailure:發(fā)送實體收到一個沒有通過認證的報文；egpNeighborLoss:相鄰的外部路由器失效或關機；設備制造商定義的陷入：gnterpriseSpecificl，在特殊陷入字段指明具體的陷入類型。4、SNMP功能組SNMP功能組對象的含義：這組除了snmpEnableAuthen

47、Trap對象，其他都是只讀計數器；在網絡管理中的作用：snmpEnableAuthenTrap可以由管理站設置，指示是否允許代理產生"認證失效”陷入，這種設置優(yōu)先于代理自己的設置。這樣就提供了一種可以排除所有認證失效陷入的手段。5、實現(xiàn)問題管理站提供的功能：支持擴展的MIB、圖形用戶接口、自動發(fā)現(xiàn)機制、可編程事件、高級網絡控制功能、面向對象的管理模型、用戶定義的圖標影響輪詢頻率的因素：管理站生成一個請求報文的時間；從管理站到代理的網絡延遲；代理處理一個請求報文的時間；代理產生一個響應報文的時間；從代理到管理站的網絡延遲；管理站處理一個響應報文的時間；為了得到需要的管理信息，交換請求/

48、響應報文的數量；計算輪詢頻率的方法：N<T/N:被輪詢的代理數；T:輪詢間隔；單個輪詢需要的時間；?例：假設有一個LAN,每15分鐘輪詢所有被管理設備一次（在當前TCP/IP網絡中典型），管理報文處理時間是50ms,網絡延遲為1ms（每個分組1000字節(jié)），沒有產生明顯的網絡擁擠，大約是0.202s。N<T/=15X60/0.2024500即管理站最多可以支持4500個設備。四個參數：代理數目、報文處理時間、網絡延遲和輪詢時間。SNMPvl的局限性：a、輪詢性能限制，SNMP不適合管理很大的網絡；b、SNMP不適合檢索大量數據；c、SNMP的陷入報文是沒有應答的；d、SNMP只提供

49、簡單的團體名認證；e、SNMP不直接支持向被管理設備發(fā)送命令；f、SNMP的管理信息庫MIB-2支持的管理對象有限，不足以完成復雜的管理功能；g、SNMP不支持管理站之間的通信；6、SNMPv2管理信息結構SNMPv2SMI引入了4個關鍵的概念：鬲訕定義、祉念表、1酎|口的法義和信息收塊：SNMPv2關于管理對象的宏定義：SNMPv2也是用ASN.1宏定義OBJECT-TYPE表示管理對象的語法和語義。SNMPv2與SNMPvl的區(qū)別：1、數據類型：增加了兩種數據類型Unsigned32和Counter64;Unsigned32和Gauge32無區(qū)別，語義不一樣；Counter64和Count

50、er32都是計數器，只能增加，不能減少；SNMPv2規(guī)定計數器沒有定義的初始值，只有連續(xù)兩次讀計數器得到的增加值才是有意義的。規(guī)定Gauge32最大值可設置為小于232的任意整數MAX，而在SNMPv1中Gauge32的最大值總是232-1,且明確了當計量器達到最大值時可自動減少。2、UnitsPart:在宏定義中增加了UNITS子句|說明與對象有關的度量單位；3、MAX-ACCESS子句:類似于v1中的ACCESS子句，說明最大訪問級別，與授權策略無關。去掉了write-only類，增加了一個與概念行有關的訪問類型,ead-create，表示可讀、可寫、可生成；增加了accessible-f

51、or-notify訪問類：訪問方式與陷入有關；4、STATUS子句:必須指明又象的狀態(tài)，3種狀態(tài)current表示當前標準中有效的，obsolete表示不必實現(xiàn)這種對象，deprecated表示對象已經過時了；SNMPv2的5種訪問級別由小到大排列：not-accessible;accessible-for-notify;read-only;read-write;.read-create;SNMPv2關于表的定義：SNMPv2的管理操作只能作用于標量對象，復雜的信息要用表來表示。SNMPv2規(guī)范表示行的序列，而行是列對象的序列。SNMPv2表的定義中必須含有INDEX或AUGMENTS子句,但

52、是只能有一個。INDEX子句定義一個基本概念行，而INDEX子句中的索引對象確定了一個概念行實例。SNMPv2的INDEX子句中增加了任選的IMPLIED修飾符:假定一個對象標識符是V,索引對象為小i2、人，則對象y的一個實例標識符為y（ii）（i2）（in）每個索引對象i的類型可能是：整數、固定長度的字符串、有修飾符IMPLIED的變長度字符串、無修飾符IMPLIED的變長度字符串（DOG）、有修飾符IMPLIED的對象標識符和無修飾符IMPLIED的對象標識符。AUGMENTS子句作用是代理INDEX子句，表示概念行的擴展。允許刪除和生成行的表與禁止刪除和生成行的表的區(qū)別：禁卜刪除和牛成刪

53、除的表：表的最高級別是read-write,很多情況下由代理控制，表中只包含read-only型的對象；介許刪除和牛成行的表：表開始可能沒有行.由管理站生成和刪除行，行數由管理站或代理改變。SNMPv2中關于表的操作：允許生成和刪除行的表必須有一個列對象,SYNTAX子句值為RowStatus,MAX-ACCESS子句值為read-write,這種列叫做概念行的狀態(tài)列。狀態(tài)列6種取值：active（可讀寫）、noinService（可讀寫）使用不了、notReady（只讀）、createAndGo（只讀不寫）、createAndWait（只讀不寫）、destroy（只讀不寫）。除notRead

54、y的5種狀態(tài)是管理站可以用Set操作設置的狀態(tài)，前三種可以是響應管理站的查詢而返回的狀態(tài)。生成表行的兩種方法：a、選擇實例標識符；b、一種方法：管理站通過事務處理產生和激活概念行。二種方法：管理站與代理協(xié)商生成概念行。c、初始化非默認值對象；d、激活概念行。概念行掛起：當概念行處于active狀態(tài)時，如果管理站希望概念行脫離服務，以便進行修改，則可以發(fā)出Set命令，把狀態(tài)列由active置為notInService。代理若執(zhí)行，返回noError,代理不執(zhí)行，返回wrongValue。概念行刪除：管理站發(fā)出set命令，把狀態(tài)列置為destroy,如果這個操作成功，概念行立即被刪除。通知模塊：通

55、知類型宏定義NOTIFICATION-TYPE用于定義異常條件出現(xiàn)時SNMPv2實體發(fā)送的信息。OBJECT子句：包含在通知實例中的MIB對象序列；（當SNMPv2實體發(fā)送通知時這些對象的值被傳送給管理站。）DESCRIPTION子句：說明了通知的語義；REFERENCE子句：包含對其他MIB模塊的引用；信息模塊：用于說明一組有關的定義。共有3種信息模塊：MIB模塊、MIB的依從性聲明模塊、代理能力說明模塊。SNMPv2對MIB-2各功能的改進：1、系統(tǒng)組：增加了與對象資源有關的一個標量對象sysORLastChange（記錄對象資源表中描述的對象實例改變狀態(tài)白時間）和一個表對象sysORTa

56、ble（對象資源是由代理實體使用和控制的、可以由管理站動態(tài)配置的系統(tǒng)資源。）2、SNMP組：去掉了許多對排錯作用不大的變量。3、MIB對象組：這個新組包含的對象與管理對象的控制有關，分為兩個子組。第一個子組snmpTrap由snmpTrapOID對象和snmpTrapEnterprise對象組成；第二個子組snmpSet只有一個對象snmpSerialNo。4、接口組：RFC1573分析了原來接口組的不足，還增加了4個新表。不足：a、MIB-2定義接口編號ifNumber是常數，對于允許動態(tài)刪除和增加的網絡接口協(xié)議不合適。b、MIB-2未區(qū)分網絡層下面的子層；c、對應一個網絡接口可能有多個虛電路；d、MIB-2接口表記錄內容只適合基于分組傳輸的協(xié)議；e、計數長度不夠；f、接口速度不夠；g、MIB-2不區(qū)分組播分組和廣播分組；h、MIB-2定義的接口類型不能動態(tài)增加；i、MIB-2對于ifSpecific變